S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 19 juillet 2018
N° CERTFR-2018-AVI-352
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Cisco

Gestion du document

Référence CERTFR-2018-AVI-352
Titre Multiples vulnérabilités dans les produits Cisco
Date de la première version19 juillet 2018
Date de la dernière version19 juillet 2018
Source(s) Bulletin de sécurité Cisco cisco-20180718-nexus-9000-dos du 18 juillet 2018
Bulletin de sécurité Cisco cisco-sa-20180718-policy-cm-default-psswrd du 18 juillet 2018
Bulletin de sécurité Cisco cisco-sa-20180718-policy-unauth-access du 18 juillet 2018
Bulletin de sécurité Cisco cisco-sa-20180718-ps-osgi-unauth-access du 18 juillet 2018
Bulletin de sécurité Cisco cisco-sa-20180718-pspb-unauth-access du 18 juillet 2018
Bulletin de sécurité Cisco cisco-sa-20180718-sdwan-ci du 18 juillet 2018
Bulletin de sécurité Cisco cisco-sa-20180718-sdwan-cmdinj du 18 juillet 2018
Bulletin de sécurité Cisco cisco-sa-20180718-sdwan-cmdnjct du 18 juillet 2018
Bulletin de sécurité Cisco cisco-sa-20180718-sdwan-coinj du 18 juillet 2018
Bulletin de sécurité Cisco cisco-sa-20180718-sdwan-cx du 18 juillet 2018
Bulletin de sécurité Cisco cisco-sa-20180718-sdwan-dos du 18 juillet 2018
Bulletin de sécurité Cisco cisco-sa-20180718-sdwan-fo du 18 juillet 2018
Bulletin de sécurité Cisco cisco-sa-20180718-webex-rce du 18 juillet 2018

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance

Systèmes affectés

  • Cisco Nexus 9000 Series Fabric Switches en mode ACI avec une version logicielle 13.0(1k)
  • Cisco Policy Suite versions antérieures à Release 18.2.0
  • Cisco Webex Meetings Online - Webex Network Recording Player et WebEx Player versions antérieures à 1.3.35
  • Cisco Webex Meetings Server - Webex Network Recording Player versions antérieures à 3.0MR1
  • Cisco Webex Meetings Suite (WBS31) - Webex Network Recording Player et Webex Player versions antérieures à WBS31.23
  • Cisco Webex Meetings Suite (WBS32) - Webex Network Recording Player et Webex Player versions antérieures à WBS32.15
  • Cisco Webex Meetings Suite (WBS33) - Webex Network Recording Player et Webex Player versions antérieures à WBS33.2
  • vBond Orchestrator Software avec une version de SD-WAN Solution antérieure à 18.3.0
  • vEdge 100 Series Routers avec une version de SD-WAN Solution antérieure à 18.3.0
  • vEdge 1000 Series Routers avec une version de SD-WAN Solution antérieure à 18.3.0
  • vEdge 2000 Series Routers avec une version de SD-WAN Solution antérieure à 18.3.0
  • vEdge 5000 Series Routers avec une version de SD-WAN Solution antérieure à 18.3.0
  • vEdge Cloud Router Platform avec une version de SD-WAN Solution antérieure à 18.3.0
  • vManage Network Management Software avec une version de SD-WAN Solution antérieure à 18.3.0
  • vSmart Controller Software avec une version de SD-WAN Solution antérieure à 18.3.0

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Cisco. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 19 juillet 2018
    Version initiale